Para agregar a la respuesta de Xander, hay algunas cosas a considerar:
- política de la compañía
- multi-tenancy de IaaS, PaaS y SaaS
- Gestión de claves
- postura actual de seguridad interna
Política de la empresa
Algunas compañías están de acuerdo con * aaS, algunas empresas dicen que un cierto nivel de PII está bien para almacenar off-prem sin cifrado, o que requieren cifrado para un cierto nivel, y dicen que por encima de ese nivel, no hay almacenamiento off-prem. Si la compañía no tiene esas políticas, anímelas a que las obtengan.
Multi-tenancy
Multi-tenancy, o que aloja a múltiples clientes en la plataforma o en el espacio de red. Esto facilita el giro y la detección del tráfico.
Algunos proveedores le darán una instancia dedicada si está dispuesto a pagar un poco (o mucho) extra.
Gestión de claves
Como mencionó Xander, algunos proveedores (Amazon y Microsoft lo hacen con seguridad, no sé sobre Google, aunque supongo que sí) ofrecen un HSM para la administración de claves. ¿La empresa confía en el código SEE en el HSM? ¿Está la empresa dispuesta a proporcionar la clave para cifrar y descifrar datos significativos de identidad? ¿Puede la empresa controlar el código SEE?
postura de seguridad de la compañía
¿Esta empresa tiene un proceso de administración de proveedores maduro? ¿Proceso de respuesta a incidentes? ¿Qué pasa si uno de estos proveedores es violado? ¿El equipo de IR de la empresa tiene la capacidad de trabajar con el proveedor? ¿Se mantendrá al proveedor en un contrato para notificar a la compañía en caso de una falla detectada? ¿Se reenviarán los registros a una solución de monitoreo de registros de la empresa? ¿Se monitorea y mantiene esa solución de monitoreo de registros? ¿Tiene la compañía un programa de pruebas y revisión de seguridad maduro?
Estas son preguntas que deben formularse y responderse más allá de "¿es seguro?" porque las políticas, la postura de seguridad y el entorno del proveedor tienen un impacto que "es seguro?" mucho.